基于改进特征选择法的光纤网络流量异常监测研究

采用当前方法进行光纤网络流量异常监测过程中,特征选择法无法全面描述流量异常特征监测的不足,存在监测效果较差的问题。为此,提出一种基于改进特征选择法的异常流量监测方法。首先采用分光方式对光纤网络流量进行分析,获取光纤网络流量时间序列,并描述用于流量异常监测的多时间序列之间的相互关系,然后利用改进特征选择法对网络出口流量进行特征提取。利用聚类算法选择网络流量异常最优类数和聚类中心,来对网络流量异常现象进行过滤,从而实现网络异常流量特征抽取、特征选择改进算法和网络流量异常监测的研发,从而提高光纤网络流量异常现象监测的准确度。仿真实验结果证明,通过这种方法,能有效地对网络流量异常现象进行监测,且算法简单,能够满足网络流量异常监测的应用需求,实用价值较高。     

基于改进特征选择法的光纤网络流量异常监测

采用当前方法进行光纤网络流量异常监测过程中,特征选择法无法全面描述流量异常特征监测的不足,存在监测效果较差的问题。为此,提出一种基于改进特征选择法的异常流量监测方法。首先采用分光方式对光纤网络流量进行分析,获取光纤网络流量时间序列,并描述用于流量异常监测的多时间序列之间的相互关系,然后利用改进特征选择法对网络出口流量进行特征提取。利用聚类算法选择网络流量异常最优类数和聚类中心,来对网络流量异常现象进行过滤,从而实现网络异常流量特征抽取、特征选择改进算法和网络流量异常监测的研发,从而提高光纤网络流量异常现象监测的准确度。仿真实验结果证明,通过这种方法,能有效地对网络流量异常现象进行监测,且算法简单,能够满足网络流量异常监测的应用需求,实用价值较高。     

多源流量特征分析方法及其在异常检测中的应用

针对不同的网络攻击会造成不同流量特征的变化,单一的网络流量特征难以全面检测网络异常的缺陷,提出了一种多源流量特征分析方法.通过选取一组网络流测度,分析其分布特征并采用雷尼信息熵方法进行多源流量特征融合以实现对网络异常行为的全面检测.基于真实网络流量的实验结果表明,提出的网络异常行为检测方法实现简单、计算量小、检测精度高,可适用于大规模网络,能有效检测已知及未知异常.     

基于自注意力机制的网络流量异常检测方法

网络中异常流量的有效检测对网络安全至关重要.以机器学习方法为主的异常流量检测技术,对流量数据采用特征选择方法进行降维并提取最优特征,但容易忽略数据特征之间的关联性,存在异常流量的检测率低、误报率高等问题.为了提高异常流量检测性能,论文在提取流量数据特征的过程中引入自注意力机制进行相关性学习,并结合深度卷积神经网络提出一种有效的网络流量异常检测模型.实验结果表明：通过引入自注意力机制,论文所提出的检测方法能够提取更准确的流量特征,并使得异常流量检测率高、误报率低.     

旁路模式下网络异常流量监控模块的设计与实现

针对局域网络环境下,网管人员很难有效监控网络数据的异常流量问题,在基于旁路的网络流量监控模式基础上,设计并实现了Guard这一旁路模式下抗攻击设备的主要功能.Guard通过自学习方式对应用层流量进行监测,从带宽和连接数等多个纬度,实现了对网络资源的合理分配和对异常流量的有效控制.     

基于信息增益的网络流量特征采集分析系统

随着Internet宽带网络应用的高速发展,其承载的业务越来越复杂,尤其是P2P应用占用了大量带宽,网络带宽扩充总是难以满足用户带宽需求不断上升的要求,如何远程监测网络流量并合理优化带宽分布成网络优化的关键技术。传统网管系统难以满足远程网络流量特征实时分析的需求,基于网络流量特征信息熵理论,建立了一种新的基于信息增益的远程网络流量特征采集系统。实验结果表明,该方法可以有效提高流量特征采集效率,实现远程流量特征的实时分析。     

一个网络流量监测与预测系统的设计与实现

提出一种网络流量采集及存储方案, 解决了大型网络流量监测的海量数据存储难题; 将流量预测引入网络管理系统, 实现了基于ARMA模型的网络流量预测. 给出了流量数据获取方法, 采用一种“整点平均”流量速率计算方法以提高准确度; 对几种不同流量数据采集存储方案进行了测试比较; 实现并分析了基于ARMA模型的网络流量预测; 给出了一种基于Trap扩展定义的流量超越阈值告警处理方法. 在南昌市大型电信数据网络上的应用表明, 该系统在网络流量监测与预测方面可以取得很好的效果, 且具备良好的性能.     

校园网流量监测系统的研究与实现

为了便于网络管理、并为网络升级和故障分析提供可靠的依据,基于实时监测网络流量情况构造一个网络流量监测软件系统。该系统采用关系数据库对流量数据进行存储;并利用Jbuilder 2005设计出便捷的用户操作管理界面,实现处理保存流量数据的校园网流量监测。通过在某大学校园网上的示范应用表明,该软件不仅提供图形化的用户接口、将收集的历史数据和实时数据在其中以图形的方式直观地显示出来,还能为用户提供可视化的监控操作与管理、方便用户使用。这种方法简便易行、性能指标较好地满足网络流量实时监测的需求。     

一种检测网络流量的算法

为改进部分网络流量检测算的不足之处,提出一种新的检测算法.利用相似计算的算法对单位时间内数据包的数量是否异常做出估计和判断.对于异常的数据包数量,通过粗糙集中的决策系统做出决策,流量异常是由小型数据包引起的,还是其他数据包引起的.决策树算法来实现决策系统的决策算法.研究结果表明:检测算法不仅可以区分网络中的流量是属于正常还是异常,而且还能对流量异常的原因进行决策.     

基于定量递归特征提取的流量监测方法

提出一种基于定量递归特征提取的流量预测算法,构建了网络端到端路由缓冲区短时网络流量的时间序列分析模型.采用虚假最近邻点算法和平均互信息算法对网络流量时间序列进行相空间重构,计算递归图平面中时频特征点占平面总点数的百分比,实现网络流量的时频熵特征提取,有效反应流量时间序列的内部结构特征和变化趋势,实现对流量的准确预测和监测.仿真结果表明,采用该算法能准确实现对网络流量相轨迹的预测判断,预测过程具有较好的抗干扰能力,预测精度较高.     

Efficient Feature Extraction Using Apache Spark for Network Behavior Anomaly Detection

Extracting and analyzing network traffic feature is fundamental in the design and implementation of network behavior anomaly detection methods. The traditional network traffic feature method focuses on the statistical features of traffic volume. However, this approach is not sufficient to reflect the communication pattern features. A different approach is required to detect anomalous behaviors that do not exhibit traffic volume changes,such as low-intensity anomalous behaviors caused by Denial of Service/Distributed Denial of Service(Do S/DDo S)attacks, Internet worms and scanning, and Bot Nets. We propose an efficient traffic feature extraction architecture based on our proposed approach, which combines the benefit of traffic volume features and network communication pattern features. This method can detect low-intensity anomalous network behaviors and conventional traffic volume anomalies. We implemented our approach on Spark Streaming and validated our feature set using labelled real-world dataset collected from the Sichuan University campus network. Our results demonstrate that the traffic feature extraction approach is efficient in detecting both traffic variations and communication structure changes.Based on our evaluation of the MIT-DRAPA dataset, the same detection approach utilizes traffic volume features with detection precision of 82.3% and communication pattern features with detection precision of 89.9%. Our proposed feature set improves precision by 94%.     

基于异常流量可视化的通信网络入侵攻击路径智能跟踪技术

为了解决通信网络的安全问题,防止通信网络被入侵,通过异常流量可视化方法研究了一种有效的通信网络入侵攻击路径跟踪技术。把流量采集点网卡设置成多样模式,对通信网络中的镜像流量进行采集。针对交换机上内外网间的端口流量,通过流量处理中心将不同网段采集点流量数据集合在一起统一处理,产生流量态势。针对采集及经处理后的流量,通过Set Timer()定时器函数发送消息,对消息进行处理,重绘窗口,实现流量可视化显示。将流量不对称性、SYN/ACK不对称性和方差过大作为异常流量特征参数,对异常流量进行检测。对流量异常入口进行限速处理,逐级向上进行限速,使得路径中已进行限速路由器下的全部路由器均限速,被标记的流量不会由于拥塞被删除。在减缓入侵的状态下通过异常流量,按照标记对攻击路径进行跟踪。结果表明,通过选择异常流量特征可有效检测异常流量;所提技术路径跟踪收敛速度与误报率比其他技术更低。可见,所提技术跟踪准确性好,整体性能优。     

基于自适应特征选择的夜间运动车辆检测算法

针对夜间交通环境的特点,提出了基于自适应特征选择的夜间运动车辆检测算法.首先,利用SIFT算法提取夜间运动车辆的形状特征,并融合颜色和纹理特征,得到夜间运动车辆的特征向量;其次,利用Boosting算法和遗传算法以迭代形式获取模糊规则及其权值;然后,采用Boosting算法以加权投票方式自适应选取对检测最有利的特征,从而实现自适应特征选择;最后,对夜间交通场景下3种不同道路情况进行实验.实验结果表明,在遮挡、光照及背景干扰等复杂情况下,该方法可以根据背景信息的不同自适应地选择特征,实现夜间车辆的实时检测,鲁棒性较好,可以满足智能交通系统的实时性和准确性的要求.     

基于eBPF与LSTM的DDoS攻击检测系统

针对网络异常流量检测中的DDoS攻击检测,以往的基于深度学习的解决方案都是在脱离系统实体的数据集上构建模型和优化参数,提出并实现一种使用Linux内核观测技术eBPF(extended Berkeley Packet Filter)与深度学习技术结合的基于网络流量特征分析的网络异常流量检测系统。系统采用eBPF直接从Linux内核网络栈最底层高效地采集网络流量特征数据,然后使用基于长短记忆网络LSTM(Long Short Term Memory)构建的深度学习系统检测网络异常流量。在具体实现中,系统首先通过Linux内核网络栈最底层XDP(eXpress Data Path)中的eBPF程序挂载点采集网络流量特征数据。之后,使用LSTM构建神经网络模型和预测分类。将系统应用于一个仿真实验网络环境得出的实验结果表明,系统的识别精确度达到97.9%,同时,在使用该系统的情况下,网络中的TCP与UDP通信的吞吐率仅平均下降8.53%。结果表明：系统对网络通信影响较低,同时也实现了较好的检测效果,具有可用性,为网络异常流量检测提供了一种新的解决方法。     

基于数据流多维特征的移动流量识别方法研究

随着移动互联网的快速发展,移动设备的数量激增至历史新高.从大量混杂流量中识别出移动流量并对流量进行分析,是深入研究移动互联网特性的第一步,同时可以为移动网络测量与管理、移动安全和隐私保护提供有价值的信息.本文综合整理了网络流量识别的常见方法,提出了基于数据流多维统计特征的移动流量识别方法.该方法从硬件特征、操作系统指纹和用户使用习惯三个方面提取了数据流中具有代表性的特征并对特征进行分析,使用集成学习的方法生成识别模型.移动流量的识别准确率和主流的5种操作系统流量分类的准确率都达到了99%以上.本文方法比UAFs方法准确率提高了8%左右.本方法提取的特征具有多维性并且具有实际意义,整合了网络层和传输层的数据流特征,相较于使用深度数据包检测的方法,基于数据流多维特征的方法同样适用于加密流量的分类.     

面向IEC61850智能变电站的网络安全异常流量分析方法

为了保证智能变电站的网络通信安全和整个变电站的稳定运行,提出了一种基于机器学习k-means聚类算法的异常流量分析方法。根据智能变电站中过程层网络的特性,结合对IEC61850智能变电站专有GOOSE(generic object-oriented substation event)以及SV(sample value)协议的报文结构解析,使用了一种基于信息熵的特征选取方法对智能变电站正常工作时站内网络通信流量进行特征分析选择,利用k-means聚类算法完成了对异常流量的检测分析及其相关分析。相较于以往方法,文中方法对智能变电站的过程层网络流量信息的特征进行了选取,根据信息熵理论,完成了重要特征的选择和冗余特征的剔除,提高了聚类算法的效率,提高了对异常流量检测的准确性。     

基于改进的混合免疫算法的动态信道分配

为保证在蜂窝移动通信网络中信道间最大程度的紧致分配,降低语音呼叫堵塞率和掉话率,提出了一种改进的混合免疫算法,并将其应用于动态信道分配中.该算法采用自适应的初始化种群、交叉和重组算子、改进的选择性变异技术和改进的疫苗接种方法.在话务量增加80%时,算法的堵塞率和掉话率分别为3.48%和1.90%,平均收敛代数仅为9.98次.仿真结果表明,改进后的算法有效地提高了收敛率,减少了算法收敛所需的运行代数;明显地降低了语音呼叫的堵塞率和掉话率,有更强的话务携带能力.     

基于遗传算法和互信息公式结合的特征选择

提出了一种由遗传算法和改进互信息公式相结合的特征选择方法．将遗传算法中的特征评价函数换为改进互信息公式来对特征进行选择,结合了过滤式和封装式这2种特征选择方法的优点．实验部分采用另外2种特征选择算法与本文所提方法分别进行特征选择,将这3种方法所得到的特征子集用于概率神经网络、BP神经网络分类器上,通过比较对应的分类精度,检验各种特征选择方法的效果. 实验结果显示,所提出的特征选择方法能更为有效的实现特征选择,所取得的特征子集具有更好的泛化特性.     

基于分形理论的网络流量异常检测技术

传统网络流量异常检测技术不能适应网络流量的复杂性,异常检测精度低,不能保证实时性,为此,提出一种新的基于分形理论的网络流量异常检测技术。通过FIR滤波方法对流量的时间序列进行预处理。采用Schwarz信息准则对网络流量异常检测问题进行处理,估测网络流量异常点数量与位置。采用R/S分析法求出自相似指数Hurst值,依据Hurst值对网络流量时间序列的分形特征进行分析。引入滑动窗口完成多网络流量异常点的检测,在检测异常点处对流量进行分形处理,依据自相似指数计算过程获取异常点间的流量自相似指数值,保存异常点之后的流量,为下一个流量异常点的检测提供依据。实验结果表明,所提技术实现过程简单,网络流量异常检测精度高,保证了实时性。